Linux账号和权限管理

Linux账号和权限管理

                                                                                                                                            --------------Isuncle 原著

Linux基于用户身份对资源访问进行控制

用户帐号：

超级用户root

超级用户，即root用户，类似于Windows系统中的Administrator用户，非执行管理任务时不建议使用root用户登录系统；root用户的UID的固定值为0、root组帐号的GID号为固定值0。

普通用户

普通用户帐号一般只在用户自己的宿主目录中有完全权；，普通用户/组使用的UID、GID号在500～60000之间。

程序用户

程序用户：用于维持系统或某个程序的正常运行，一般不允许登录到系统。例如：bin、daemon、ftp、mail等；1~499的UID、GID默认保留给程序用户使用。

组帐号：

基本组(私有组)

附加组（公共组）

UID和GID：

UID（User Identity，用户标识号）

GID（Group Identify，组标识号）

用于保存用户的帐号基本信息

文件位置：/etc/passwd

每一行对应一个用户的帐号记录

1.基于系统运行和管理需要，所有用户都可以访问passwd文件中的内容，但是只有root用户才能进行更改

2.在早期的UNIX操作系统中，用户帐号的密码信息是保存在passwd文件中的，不法用户可以很容易的获取密码字串并进行暴力破解，因此存在一定的安全隐患

后来经改进后，将密码转存入专门的shadow文件中（见下页）并严格控制全新，而passwd文件中仅保留密码占位符“x”

字段1：用户帐号的名称

字段2：用户密码字串或者密码占位符“x”

字段3：用户帐号的UID号

字段4：所属基本组帐号的GID号

字段5：用户全名

字段6：宿主目录

字段7：登录Shell信息

用于保存密码字串、密码有效期等信息

文件位置：/etc/shadow

每一行对应一个用户的密码记录

1.默认只有root用户能够读取文件中的内容，并且不允许root直接编辑该文件中的内容

2.上次修改密码的时间，表示从1970年01月01日（可理解为Unix系统的诞生日）算起到最近一次修改密码时间隔的天数

   字段1：用户帐号的名称

字段2：加密的密码字串信息

字段3：上次修改密码的时间

字段4：密码的最短有效天数，默认值为0

字段5：密码的最长有效天数，默认值为99999

字段6：提前多少天警告用户口令将过期，默认值为7

字段7：在密码过期之后多少天禁用此用户

字段8：帐号失效时间，默认值为空

字段9：保留字段（未使用）

添加用户账号：

useradd命令

格式：useradd[选项]...用户名

常用命令选项

-u：指定UID 标记号

-d：指定宿主目录，缺省为/home/用户名

-e：指定帐号失效时间

-g：指定用户的基本组名（或UID号）

-G：指定用户的附加组名（或GID号）

-M：不为用户建立并初始化宿主目录

-s：指定用户的登录Shell

比如下面我们来用–u命令创建一个UID为504的用户st02：

[root@localhost~]# useradd -u504 st02

[root@localhost~]# tail -1 /etc/passwd （查看一下）

st02:x:504:504::/home/st02:/bin/bash （查看结果）

这里我们创建一个考试测试用的帐号exam01，指定属于users组，该帐号于2009-07-30失效

[root@localhost~]# useradd -gusers-e 2009-07-30 exam01

指定mike的基本组为mike，并加入到ftpuser组；指定主目录为/ftphome/mike；不允许mike通过本地登录服务器

（对应的基本组mike、ftpuser必须存在，添加组账号的方法后面会讲解）

添加一个新的用户账号后，useradd命令会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号的末班目录”/etc/skel/”

文件来源

新建用户帐号时，从/etc/skel 目录中复制而来

主要的用户初始配置文件

~/.bash_profile：用户每次登录时执行

~/.bashrc：每次进入新的Bash环境时执行

~/.bash_logout：用户每次退出登录时执行

默认情况下，用户宿主目录下的初始配置文件只对当前用户有效，而全局配置文件对所有用户有效

设置/更改用户口令——passwd

passwd命令

格式：passwd[选项]...用户名

-d：清空用户的密码，使之无需密码即可登录

-l：锁定用户帐号

-S：查看用户帐号的状态（是否被锁定）

-u：解锁用户帐号

不指定用户名时，修改当前账号的密码

修改用户账号的属性——usermod

usermod命令

格式：usermod[选项]...用户名

-l：更改用户帐号的登录名称

-L：锁定用户账户

-U：解锁用户账户

以下选项与useradd命令中的含义相同

-u、-d、-e、-g、-G、-s

删除用户账号——userdel

userdel命令

格式：userdel[-r]用户名

添加-r 选项时，表示连用户的宿主目录一并删除

删除用户账号stu01

组账号文件：

与用户帐号文件相类似

/etc/group：保存组帐号基本信息

/etc/gshadow：保存组帐号的密码信息

添加组账号——groupadd

groupadd命令

格式：groupadd[-g GID]组帐号名

添加删除组成员——gpasswd

gpasswd命令

用途：设置组帐号密码（极少用）、添加/删除组成员

格式：gpasswd[选项]...组帐号名

-a：向组内添加一个用户

-d：从组内删除一个用户成员

-M：定义组成员列表，以逗号分隔

删除组账号——groupdel

groupdel命令

格式：groupdel组帐号名

查询账号信息

id命令

用途：查询用户身份标识

格式：id[用户名]

groups命令

用途:查询用户所属的组

格式：groups[用户名]

finger命令

用途：查询用户帐号的详细信息

格式：finger[用户名]

users、w 、who命令

用途：查询已登录到主机的用户信息

了解了用户和组之后下面我们再来介绍提下权限，在Linux中，权限没有windows中那么复杂只分为三种，以及文件/目录的归属。

文件/目录的权限和归属

访问权限

读取r：允许查看文件内容、显示目录列表

写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录

可执行x：允许运行程序、切换目录

归属（所有权）

属主：拥有该文件或目录的用户帐号

属组：拥有该文件或目录的组帐号

查看文件/目录的权限和归属

“-rw-r—r--”部分的第一个字符表示文件类型，可以是d(目录)、b(块设备文件)、c(字符设备文件)，减号“-”（普通文件）、字母“l”（链接文件）等

其余部分指定了文件的访问权限

在表示属主、属组内用户或其他用户对该文件的访问权限时，主要使用了四种不同的权限字符：r可读；w可写；x可执行；-无权限

r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0

设置文件和目录的权限——chmod

chmod命令

格式1：chmod[ugoa][+-=][rwx]文件或目录...

格式2：chmod nnn 文件或目录...

-R：递归修改指定目录下所有子项的全新

设置文件和目录的归属——chown

chown命令

格式：chown属主文件或目录

chown:属组文件或目录

chown属主:属组文件或目录

-R：递归修改指定目录下所有文件、子目录的归属